Politique de confidentialité

Comment nous traitons les données lorsque vous utilisez Orilyt.
Dernière mise à jour : 2026-03-27

1. Responsable du traitement

Le responsable du traitement est Jean-Benoît Kauffmann, entrepreneur individuel (JBK Agency), SIRET 315 218 131 00060, 593 rue du Bas Moulin, 77190 Dammarie-lès-Lys, France. Contact : [email protected].

2. Données collectées

Nous collectons les catégories de données personnelles suivantes :

  • Données de compte : adresse email, mot de passe hashé, langue préférée, plan, statut d'abonnement.
  • Données d'audit : URL des sites audités, scores d'audit, contenu du rapport (JSON), résumés générés par IA.
  • Données de prospection : nom du prospect, email, téléphone, entreprise, poste, notes, statut du pipeline, correspondance email.
  • Données de facturation : identifiant client Stripe, détails d'abonnement. Les numéros de carte bancaire sont traités et stockés exclusivement par Stripe ; nous n'y avons pas accès.
  • Données techniques : adresse IP, user-agent du navigateur, cookies de session, journaux de sécurité (tentatives de connexion, limitation de débit).
  • Analytics : pages vues anonymes (page, date, nombre). Aucun script de suivi tiers n'est utilisé.
Important : Orilyt effectue des vérifications en lecture seule via HTTP sur des URL publiquement accessibles. Il n'accède pas aux zones privées, ne requiert pas d'identifiants et ne modifie pas les sites audités.

3. Finalités du traitement

  • Fourniture du Service : gestion des comptes, exécution des audits, génération de rapports, alertes de monitoring, génération de devis.
  • Facturation : traitement des paiements, gestion des abonnements et des crédits.
  • Prospection : envoi de rapports d'audit, relances email et suivis pour le compte de l'Utilisateur.
  • Sécurité : prévention de la fraude, limitation de débit, protection des connexions, journalisation des événements de sécurité.
  • Amélioration du service : statistiques d'utilisation anonymes, surveillance des erreurs.
  • Communication : emails transactionnels (vérification, réinitialisation de mot de passe, alertes, rapports mensuels).

4. Bases légales

  • Exécution du contrat (Article 6(1)(b) RGPD) : fourniture du Service tel que décrit dans les CGU.
  • Intérêts légitimes (Article 6(1)(f) RGPD) : sécurité, prévention de la fraude, amélioration du service.
  • Obligation légale (Article 6(1)(c) RGPD) : documents de facturation, conformité fiscale.
  • Consentement (Article 6(1)(a) RGPD) : cookies d'analytics optionnels, le cas échéant.

5. Sous-traitants et partage de données

Nous ne vendons pas de données personnelles. Les données sont partagées uniquement avec les prestataires suivants, nécessaires au fonctionnement du Service :

  • Hetzner Online GmbH (Allemagne) — hébergement, serveurs et bases de données.
  • Stripe, Inc. (États-Unis) — traitement des paiements. Stripe est certifié dans le cadre du EU-US Data Privacy Framework.
  • Anthropic (États-Unis) — résumés de rapports et emails de prospection générés par IA. Seuls les scores d'audit et les données publiques du site sont transmis ; aucune donnée personnelle.
  • OpenAI (États-Unis) — suggestions SEO générées par IA. Même périmètre que ci-dessus.
  • Google (États-Unis) — API PageSpeed Insights et API Safe Browsing. Seule l'URL auditée est transmise.
  • Resend (États-Unis) — envoi d'emails transactionnels (SMTP).

Pour les sous-traitants basés aux États-Unis, les transferts de données sont couverts par les Clauses Contractuelles Types (CCT) ou le EU-US Data Privacy Framework, le cas échéant.

6. Durée de conservation

  • Données de compte : conservées tant que le compte est actif. Supprimées 90 jours après la résiliation du compte.
  • Rapports d'audit : conservés tant que le compte est actif ou pendant 12 mois pour les audits anonymes.
  • Documents de facturation : conservés pendant 10 ans (obligation fiscale française).
  • Journaux de sécurité (IP, tentatives de connexion) : conservés pendant 12 mois.
  • Données de prospection : conservées tant que le compte est actif. L'Utilisateur peut supprimer les prospects individuellement à tout moment.

7. Vos droits

Conformément au RGPD et à la loi Informatique et Libertés, vous disposez des droits suivants :

  • Droit d'accès : obtenir une copie de vos données personnelles.
  • Droit de rectification : corriger des données inexactes.
  • Droit à l'effacement (« droit à l'oubli ») : demander la suppression de vos données.
  • Droit à la limitation : limiter le traitement dans certaines circonstances.
  • Droit à la portabilité : recevoir vos données dans un format structuré et lisible par machine (disponible via la fonctionnalité d'export RGPD dans les paramètres du compte).
  • Droit d'opposition : vous opposer au traitement fondé sur l'intérêt légitime.

Pour exercer vos droits, contactez : [email protected]. Nous répondrons dans un délai de 30 jours.

Vous disposez également du droit d'introduire une réclamation auprès de l'autorité de contrôle française : CNIL (Commission Nationale de l'Informatique et des Libertés), 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07 — www.cnil.fr.

8. Mesures de sécurité

Nous mettons en œuvre des mesures de sécurité techniques et organisationnelles appropriées, notamment : chiffrement HTTPS en transit, hashage des mots de passe (bcrypt), requêtes SQL préparées, protection CSRF, limitation de débit, en-têtes de sécurité (HSTS, CSP, X-Frame-Options) et contrôles d'accès.

Malgré ces mesures, aucun système n'est totalement sûr. En cas de violation de données affectant vos droits, nous vous en informerons ainsi que la CNIL dans un délai de 72 heures, conformément à l'article 33 du RGPD.

9. Transferts internationaux de données

Vos données sont principalement stockées en Allemagne (Hetzner). Certains sous-traitants sont basés aux États-Unis. Les transferts vers les États-Unis sont régis par les Clauses Contractuelles Types (CCT) adoptées par la Commission européenne ou par la certification EU-US Data Privacy Framework du sous-traitant.

10. Mineurs

Le Service n'est pas destiné aux personnes de moins de 16 ans. Nous ne collectons pas sciemment de données personnelles de mineurs. Si vous pensez qu'un mineur nous a fourni des données personnelles, veuillez nous contacter pour suppression.

11. Modifications de cette politique

Nous pouvons mettre à jour cette Politique de confidentialité de temps à autre. Les modifications significatives seront notifiées par email ou par notification dans l'application. La date de « Dernière mise à jour » en haut de cette page indique la révision la plus récente.